IEC 61508-2:2000
(Main)Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems (see www.iec.ch/61508)
Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 2: Requirements for electrical/electronic/programmable electronic safety-related systems (see <a href="http://www.iec.ch/61508">www.iec.ch/61508</a>)
Intended to be used only after a thorough understanding of IEC 61508-1, which provides the overall framework for the achievement of functional safety. Has the status of a basic safety publication in accordance with IEC Guide 104.
Sécurité fonctionnelle des systèmes électriques/électroniques/ électroniques programmables relatifs à la sécurité - Partie 2: Prescriptions pour les systèmes électriques/électroniques/ électroniques programmables relatifs à la sécurité (voir www.iec.ch/61508)
Destinée à être utilisée uniquement après avoir compris de manière approfondie la CEI 61508-1 qui fournit le cadre global permettant de réaliser la sécurité fonctionnelle. Has the status of a basic safety publication in accordance with IEC Guide 104
General Information
Relations
Standards Content (Sample)
INTERNATIONAL IEC
STANDARD
61508-2
First edition
2000-05
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 2:
Requirements for electrical/electronic/
programmable electronic safety-related systems
This English-language version is derived from the original
bilingual publication by leaving out all French-language
pages. Missing page numbers correspond to the French-
language pages.
Reference number
Publication numbering
As from 1 January 1997 all IEC publications are issued with a designation in the
60000 series. For example, IEC 34-1 is now referred to as IEC 60034-1.
Consolidated editions
The IEC is now publishing consolidated versions of its publications. For example,
edition numbers 1.0, 1.1 and 1.2 refer, respectively, to the base publication, the base
publication incorporating amendment 1 and the base publication incorporating
amendments 1 and 2.
Further information on IEC publications
The technical content of IEC publications is kept under constant review by the IEC,
thus ensuring that the content reflects current technology. Information relating to this
publication, including its validity, is available in the IEC Catalogue of publications
(see below) in addition to new editions, amendments and corrigenda. Information on
the subjects under consideration and work in progress undertaken by the technical
committee which has prepared this publication, as well as the list of publications
issued, is also available from the following:
• IEC Web Site (www.iec.ch)
• Catalogue of IEC publications
The on-line catalogue on the IEC web site (www.iec.ch/searchpub) enables you to
search by a variety of criteria including text searches, technical committees and
date of publication. On-line information is also available on recently issued
publications, withdrawn and replaced publications, as well as corrigenda.
• IEC Just Published
This summary of recently issued publications (www.iec.ch/online_news/ justpub) is
also available by email. Please contact the Customer Service Centre (see below)
for further information.
• Customer Service Centre
If you have any questions regarding this publication or need further assistance,
please contact the Customer Service Centre:
Email: custserv@iec.ch
Tel: +41 22 919 02 11
Fax: +41 22 919 03 00
INTERNATIONAL IEC
STANDARD
61508-2
First edition
2000-05
BASIC SAFETY PUBLICATION
Functional safety of electrical/electronic/
programmable electronic safety-related systems –
Part 2:
Requirements for electrical/electronic/
programmable electronic safety-related systems
IEC 2000 Copyright - all rights reserved
No part of this publication may be reproduced or utilized in any form or by any means, electronic or mechanical,
including photocopying and microfilm, without permission in writing from the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
PRICE CODE
XB
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
For price, see current catalogue
61508-2 © IEC:2000 – 3 –
CONTENTS
Page
FOREWORD . 7
INTRODUCTION . 11
Clause
1 Scope . 15
2 Normative references. 21
3 Definitions and abbreviations . 23
4 Conformance to this standard . 23
5 Documentation. 23
6 Management of functional safety. 23
7 E/E/PES safety lifecycle requirements . 23
7.1 General. 23
7.2 E/E/PES safety requirements specification. 31
7.3 E/E/PES safety validation planning . 35
7.4 E/E/PES design and development. 37
7.5 E/E/PES integration . 71
7.6 E/E/PES operation and maintenance procedures . 73
7.7 E/E/PES safety validation . 77
7.8 E/E/PES modification. 79
7.9 E/E/PES verification. 79
8 Functional safety assessment . 83
Annex A (normative) Techniques and measures for E/E/PE safety-related systems:
control of failures during operation . 85
A.1 General. 85
A.2 Hardware safety integrity. 87
A.3 Systematic safety integrity. 105
Annex B (normative) Techniques and measures for E/E/PE safety-related systems:
avoidance of systematic failures during the different phases of the lifecycle . 117
Annex C (normative) Diagnostic coverage and safe failure fraction . 137
C.1 Calculation of diagnostic coverage and safe failure fraction of a subsystem . 137
C.2 Determination of diagnostic coverage factors . 139
Bibliography . 143
61508-2 © IEC:2000 – 5 –
Page
Figure 1 – Overall framework of IEC 61508 . 19
Figure 2 – E/E/PES safety lifecycle (in realisation phase). 25
Figure 3 – Relationship and scope for IEC 61508-2 and IEC 61508-3. 27
Figure 4 – Relationship between the hardware and software architectures of
programmable electronics . 39
Figure 5 – Example limitation on hardware safety integrity for a single-channel
safety function. 49
Figure 6 – Example limitation on hardware safety integrity for a multiple-channel
safety function. 53
Table 1 – Overview – Realisation phase of the E/E/PES safety lifecycle. 29
Table 2 – Hardware safety integrity: architectural constraints on type A safety-related
subsystems . 47
Table 3 – Hardware safety integrity: architectural constraints on type B safety-related
subsystems . 47
Table A.1 – Faults or failures to be detected during operation or to be analysed in
the derivation of safe failure fraction. 89
Table A.2 – Electrical subsystems . 91
Table A.3 – Electronic subsystems. 93
Table A.4 – Processing units . 93
Table A.5 – Invariable memory ranges . 95
Table A.6 – Variable memory ranges. 95
Table A.7 – I/O units and interface (external communication) . 97
Table A.8 – Data paths (internal communication) . 97
Table A.9 – Power supply. 99
Table A.10 – Program sequence (watch-dog) . 99
Table A.11 – Ventilation and heating system (if necessary) . 101
Table A.12 – Clock . 101
Table A.13 – Communication and mass-storage. 103
Table A.14 – Sensors . 103
Table A.15 – Final elements (actuators) . 105
Table A.16 – Techniques and measures to control systematic failures caused by
hardware and software design. 109
Table A.17 – Techniques and measures to control systematic failures caused by
environmental stress or influences . 111
Table A.18 – Techniques and measures to control systematic operational failures . 113
Table A.19 – Effectiveness of techniques and measures to control systematic failures . 115
Table B.1 – Recommendations to avoid mistakes during specification of E/E/PES
requirements (see 7.2) . 121
Table B.2 – Recommendations to avoid introducing faults during E/E/PES design and
development (see 7.4). 12 3
Table B.3 – Recommendations to avoid faults during E/E/PES integration (see 7.5). 125
Table B.4 – Recommendations to avoid faults and failures during E/E/PES operation
and maintenance procedures (see 7.6). 127
Table B.5 – Recommendations to avoid faults during E/E/PES safety validation
(see 7.7) . 129
Table B.6 – Effectiveness of techniques and measures to avoid systematic failures . 131
61508-2 © IEC:2000 – 7 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 2: Requirements for electrical/electronic/programmable
electronic safety-related systems
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-2 has been prepared by subcommittee 65A: System
aspects, of IEC technical committee 65: Industrial-process measurement and control.
It has the status of a basic safety publication according to IEC Guide 104.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/294/FDIS 65A/303/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
61508-2 © IEC:2000 – 9 –
Annexes A, B, and C form an integral part of this standard.
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related sys-
tems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of parts 2 and 3
– Part 7: Overview of techniques and measures
The committee has decided that the contents of this publication will remain unchanged
until 2006. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended.
61508-2 © IEC:2000 – 11 –
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and
consistent technical policy be developed for all electrically based safety-related systems. A
major objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which may rely on
many technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/electronic/
programmable electronic (E/E/PE) safety-related systems, it may also provide a framework
within which safety-related systems based on other technologies may be considered.
It is recognised that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector International Standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector International Standards, dealing with safety-related E/E/PESs,
to be developed; the development of application sector International Standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
61508-2 © IEC:2000 – 13 –
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability
–9
of a dangerous failure of 10 per hour;
NOTE A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not rely on the concept of fail safe which may
be of value when the failure modes are well defined and the level of complexity is relatively
low. The concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-2 © IEC:2000 – 15 –
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 2: Requirements for electrical/electronic/programmable
electronic safety-related systems
1 Scope
1.1 This part of IEC 61508
a) is intended to be used only after a thorough understanding of IEC 61508-1, which
provides the overall framework for the achievement of functional safety;
b) applies to any safety-related system, as defined by IEC 61508-1, which contains at least
one electrical, electronic or programmable electronic based component;
c) applies to all subsystems and their components within an E/E/PE safety-related system
(including sensors, actuators and the operator interface);
d) specifies how to refine the information developed in accordance with IEC 61508-1,
concerning the overall safety requirements and their allocation to E/E/PE safety-related
systems, and specifies how the overall safety requirements are refined into E/E/PES
safety functions requirements and E/E/PES safety integrity requirements;
e) specifies requirements for activities that are to be applied during the design and
manufacture of the E/E/PE safety-related systems (i.e. establishes the E/E/PES safety
lifecycle model), except for software, which is dealt with by IEC 61508-3 (see figures 2
and 3) – these requirements include the application of techniques and measures, which
are graded against the safety integrity level, for the avoidance of, and control of, faults
and failures;
f) specifies the information necessary for carrying out the installation, commissioning and
final safety validation of the E/E/PE safety-related systems;
g) does not apply to the operation and maintenance phase of the E/E/PE safety-related
systems – this is dealt with in IEC 61508-1 – however, IEC 61508-2 does provide
requirements for the preparation of information and procedures needed by the user for the
operation and maintenance of the E/E/PE safety-related systems;
h) specifies requirements to be met by the organisation carrying out any modification of
the E/E/PE safety-related systems.
NOTE 1 This part of IEC 61508 is mainly directed at suppliers and/or in-company engineering departments, hence
the inclusion of requirements for modification.
NOTE 2 The relationship between IEC 61508-2 and IEC 61508-3 is illustrated in figure 3.
1.2 IEC 61508-1, IEC 61508-2, IEC 61508-3 and IEC 61508-4 are basic safety publications,
although this status does not apply in the context of low complexity E/E/PE safety-related
systems (see 3.4.4 of IEC 61508-4). As basic safety publications, they are intended for use by
technical committees in the preparation of standards in accordance with the principles
contained in IEC Guide 104 and ISO/IEC Guide 51. IEC 61508 is also intended for use as a
stand-alone standard.
61508-2 © IEC:2000 – 17 –
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the
requirements, test methods or test conditions of this basic safety publication will not apply
unless specifically referred to or included in the publications prepared by those technical
committees.
NOTE 1 The functional safety of an E/E/PE safety-related system can only be achieved when all related
requirements are met. Therefore, it is important that all related requirements are carefully considered and
adequately referenced.
NOTE 2 In the USA and Canada, until the proposed sector implementation of IEC 61508 (i.e. IEC 61511) is
published as an international standard in the USA and Canada, existing national process safety standards based
on IEC 61508 (i.e. ANSI/ISA-S84.01) can be applied to the process sector instead of IEC 61508.
1.3 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-2 plays in the achievement of functional safety for E/E/PE safety-related
systems. Annex A of IEC 61508-6 describes the application of IEC 61508-2 and IEC 61508-3.
61508-2 © IEC:2000 – 19 –
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
PART 7
Definitions and
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for Clause 5 and
parts 2 and 3
E/E/PE safety- safety-related annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
safety-related systems Functional safety
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal
f
E/E/PE safety-related systems
7.15 to 7.17
IEC 312/2000
Figure 1 – Overall framework of IEC 61508
61508-2 © IEC:2000 – 21 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent
amendments to, or revisions of, any of these publications do not apply. However, parties to
agreements based on this part of IEC 61508 are encouraged to investigate the possibility of
applying the most recent editions of the normative documents indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of IEC
and ISO maintain registers of currently valid International Standards.
IEC 60050(371):1984, International Electrotechnical Vocabulary – Chapter 371: Telecontrol
IEC 60300-3-2:1993, Dependability management – Part 3: Application guide – Section 2:
Collection of dependability data from the field
IEC 61000-1-1:1992, Electromagnetic compatibility (EMC) – Part 1: General – Section 1:
Application and interpretation of fundamental definitions and terms
IEC 61000-2-5:1995, Electromagnetic compatibility (EMC) – Part 2: Environment – Section 5:
Classification of electromagnetic environments – Basic EMC publication
IEC 61508-1:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 1: General requirements
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
IEC 61508-5:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6, Functional safety of electrical/electronic/programmable electronic safety-related
1)
systems – Part 6: Guidelines on the application of parts 2 and 3
IEC 61508-7:2000, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 7: Overview of techniques and measures
IEC Guide 104:1997, The preparation of safety publications and the use of basic safety
publications and group safety publications
ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
IEEE 352:1987, IEEE guide for general principles of reliability analysis of nuclear power
generating station safety systems
———————
1)
To be published.
61508-2 © IEC:2000 – 23 –
3 Definitions and abbreviations
For the purposes of this part of IEC 61508, the definitions and abbreviations given in
IEC 61508-4 apply.
4 Conformance to this standard
The requirements for conformance to this standard are as detailed in clause 4 of IEC 61508-1.
5 Documentation
The requirements for documentation are as detailed in clause 5 of IEC 61508-1.
6 Management of functional safety
The requirements for management of functional safety are as detailed in clause 6 of
IEC 61508-1.
7 E/E/PES safety lifecycle requirements
7.1 General
7.1.1 Objectives and requirements: General
7.1.1.1 This subclause sets out the objectives and requirements for the E/E/PES safety
lifecycle phases.
NOTE The objectives and requirements for the overall safety lifecycle, together with a general introduction to the
structure of the standard, are given in IEC 61508-1.
7.1.1.2 For all phases of the E/E/PES safety lifecycle, table 1 indicates
− the objectives to be achieved;
− the scope of the phase;
− a reference to the subclause containing the requirements;
− the required inputs to the phase;
− the outputs required to comply with the subclause.
7.1.2 Objectives
7.1.2.1 The first objective of the requirements of this subclause is to structure, in a
systematic manner, the phases in the E/E/PES safety lifecycle that shall be considered in
order to achieve the required functional safety of the E/E/PE safety-related systems.
7.1.2.2 The second objective of the requirements of this subclause is to document all
information relevant to the functional safety of the E/E/PE safety-related systems throughout
the E/E/PES safety lifecycle.
61508-2 © IEC:2000 – 25 –
7.1.3 Requirements
7.1.3.1 The E/E/PES safety lifecycle that shall be used in claiming conformance with this
standard is that specified in figure 2. If another E/E/PES safety lifecycle is used, it shall be
specified during functional safety planning (see clause 6 of IEC 61508-1), and all the
objectives and requirements of each subclause of IEC 61508-2 shall be met.
NOTE The relationship and scope for IEC 61508-2 and IEC 61508-3 are shown in figure 3.
7.1.3.2 The procedures for management of functional safety (see clause 6 of IEC 61508-1)
shall run in parallel with the E/E/PES safety lifecycle phases.
7.1.3.3 Each phase of the E/E/PES safety lifecycle shall be divided into elementary
activities, with the scope, inputs and outputs specified for each phase (see table 1).
7.1.3.4 Unless justified during functional safety planning, the outputs of each phase of the
E/E/PES safety lifecycle shall be documented (see clause 5 of IEC 61508-1).
7.1.3.5 The outputs for each E/E/PES safety lifecycle phase shall meet the objectives and
requirements specified for each phase (see 7.2 to 7.9).
Box 9 in figure 2
E/E/PES safety lifecycle
of part 1
Safety-related
E/E/PES safety requirements
9.1
systems:
specification
E/E/PES
Safety functions Safety integrity
Realisation
9.1.1 9.1.2
requirements requirements
specification specification
E/E/PES design and
E/E/PES safety
9.2 9.3
development
validation planning
including software
E/E/PES installation,
(see IEC 61508-3)
commissioning,
9.5
operation, and
maintenance procedures
9.4
E/E/PES integration
One E/E/PES safety E/E/PES safety
9.6
lifecycle for each validation
To box 14
E/E/PE safety-related
in figure 2
system
of part 1
To box 12 in figure 2 of part 1
IEC 313/2000
NOTE See also IEC 61508-6, A.2(b).
Figure 2 – E/E/PES safety lifecycle (in realisation phase)
61508-2 © IEC:2000 – 27 –
Scope of
part 2
E/E/PES safety
E/E/PES
requirements
architecture
specification
Hardware safety requirements
specification
Scope of
Software safety
Non-programmable
Programmable
part 3 requirements
hardware
electronic hardware
Software design
Non-programmable
Programmable
and
electronics design hardware design
development
and development and development
Programmable electronics
E/E/PES
integration (hardware and
integration
software)
IEC 314/2000
Figure 3 – Relationship and scope for IEC 61508-2 and IEC 61508-3
61508-2 © IEC:2000 – 29 –
Table 1 – Overview – Realisation phase of the E/E/PES safety lifecycle
Safety lifecycle phase or
activity
Require-
Objectives Scope Inputs Outputs
ments
Figure 2
subclause
box Title
number
9.1 E/E/PES safety To specify the E/E/PE 7.2.2 Description of E/E/PES safety
requirements requirements for each safety-related allocation of requirements
specification E/E/PE safety-related systems safety
Requirements for software
system, in terms of the requirements
safety as an input to the
required safety functions (see 7.6 of
software safety
and the required safety IEC 61508-1)
requirements specification
integrity, in order to
achieve the required
functional safety
9.2 E/E/PES safety To plan the validation of E/E/PE 7.3.2 E/E/PES safety Plan for the safety
validation the safety of the E/E/PE safety-related requirements validation
lanning safety-related systems systems
of the E/E/PE safety-
related systems
9.3 E/E/PES To design the E/E/PE E/E/PE 7.4.2 E/E/PES safety Design of the E/E/PE
design and safety-related systems to safety-related to requirements safety related systems in
development meet the requirements for systems 7.4.9 conformance with the
safety functions and E/E/PES safety
safety integrity requirements
Plan for the E/E/PES
integration test
PES architectural
information as an input to
the software requirements
specification
9.4 E/E/PES To integrate and test the E/E/PE 7.5.2 E/E/PES design Fully functioning E/E/PE
integration E/E/PE safety-related safety-related safety-related systems in
E/E/PES
systems systems conformance with the
integration test
E/E/PES design
plan
Results of E/E/PES
Programmable
integration tests
electronics
hardware and
software
9.5 E/E/PES To develop procedures to E/E/PE 7.6.2 E/E/PES safety E/E/PES installation,
installation, ensure that the functional safety-related requirements commissioning, operation
commission in, safety of the E/E/PE systems and maintenance
E/E/PES design
operation, and safety-related systems is EUC procedures for each
maintenance maintained during individual E/E/PES
procedures operation and
maintenance
9.6 7.7.2
E/E/PES safety To validate that the E/E/PE E/E/PES safety Fully safety validated
validation E/E/PE safety-related safety-related requirements E/E/PE safety-related
systems systems
systems meet, in all
Plan for the
respects, the
safety validation Results of E/E/PES safety
requirements for safety in
of the E/E/PE validation
terms of the required
safety-related
safety functions and the
systems
required safety integrity
– E/E/PES To make corrections, E/E/PE 7.8.2 E/E/PES safety Results of E/E/PES
modification enhancements or safety-related requirements modification
adaptations to the E/E/PE systems
safety-related systems,
ensuring that the required
safety integrity level is
achieved and maintained
– E/E/PES To test and evaluate the E/E/PE 7.9.2 As above – As above – depends on the
verification outputs of a given phase safety-related depends on the phase
to ensure correctness and systems phase
Results of the verification
consistency with respect
Plan for the of the E/E/PE safety-
to the products and
verification of related systems for each
standards provided as
phase
the E/E/PE
input to that phase
safety-related
systems for
each phase
– E/E/PES To investigate and arrive E/E/PE 8 Plan for Results of E/E/PES
functional at a judgement on the safety-related E/E/PES functional safety
safety functional safety achieved systems functional safety assessment
assessment by the E/E/PE safety- assessment
related systems
61508-2 © IEC:2000 – 31 –
7.2 E/E/PES safety requirements specification
NOTE This phase is box 9.1 of figure 2.
7.2.1 Objective
The objective of the requirements of this subclause is to specify the requirements for each
E/E/PE safety-related system, in terms of the required safety functions and the required
safety integrity, in order to achieve the required functional safety.
NOTE The safety functions may, for example, be required to put the EUC into a safe state or to maintain a safe
state.
7.2.2 General requirements
7.2.2.1 The specification of the E/E/PES safety requirements shall be derived from the
allocation of safety requirements, specified in 7.6 of IEC 61508-1, and from those
requirements specified during functional safety planning (see clause 6 of IEC 61508-1). This
information shall be made available to the E/E/PES developer.
NOTE Caution should be exercised if non-safety functions and safety functions are implemented in the same
E/E/PE safety-related system. While this is allowed in the standard, it may lead to greater complexity and increase
the difficulty in carrying out E/E/PE safety lifecycle activities (for example design, validation, functional safety
assessment and maintenance).
7.2.2.2 The E/E/PES safety requirements shall be expressed and structured in such a way
that they are
a) clear, precise, unambiguous, verifiable, testable, maintainable and feasible; and
b) written to aid comprehension by those who are likely to utilise the information at any stage
of the E/E/PES safety lifecycle.
7.2.2.3 The specification of the E/E/PES safety requirements shall contain the requirements
for the E/E/PES safety functions (see 7.2.3.1) and the requirements for E/E/PES safety
integrity (see 7.2.3.2).
7.2.3 E/E/PES safety requirements
7.2.3.1 The E/E/PES safety functions requirements specification shall contain
a) a description of all the safety functions necessary to achieve the required functional
safety, which shall, for each safety function,
– provide comprehensive detailed requirements sufficient for the design and
development of the E/E/PE safety-related systems,
– include the manner in which the E/E/PE safety-related systems are intended to
achieve or maintain a safe state for the EUC,
– specify whether or not continuous control is required, and for what periods, in
achieving or maintaining a safe state of the EUC, and
– specify whether the safety function is applicable to E/E/PE safety-related systems
operating in low demand or high demand/continuous modes of operation;
b) throughput and response time performance;
c) E/E/PE safety-related system and operator interfaces which are necessary to achieve the
required functional safety;
d) all information relevant to functional safety which may have an influence on the E/E/PE
safety-related system design;
e) all interfaces between the E/E/PE safety-related systems and any other systems (either
directly associated within, or outside, the EUC);
61508-2 © IEC:2000 – 33 –
f) all relevant modes of operation of the EUC, including
– preparation for use including setting and adjustment,
– start-up, teach, automatic, manual, semi-automatic, steady state of operation,
– steady state of non-operation, re-setting, shut-down, maintenance,
–
reasonably foreseeable abnormal conditions;
NOTE 1 Reasonably foreseeable abnormal conditions are those reasonably foreseeable to either the
developers or users.
NOTE 2 Additional safety functions may be required for particular modes of operation (for example setting,
adjustment or maintenance), to enable these operations to be carried out safely.
g) all required modes of behaviour of the E/E/PE safety-related systems – in particular,
failure behaviour and the required response (for example alarms, automatic shut-down,
etc.) of the E/E/PE safety-related systems shall be detailed;
h) the significance of all hardware/software interactions – where relevant, any required
constraints between the hardware and the software shall be identified and documented;
NOTE 3 Where these interactions are not known before finishing the design, only general constraints can be
stated.
i) limiting and constraint conditions for the E/E/PE safety-related systems and their
associated subsystems, for example timing constraints;
j) any specific requirements related to the procedures for starting-up and restarting the
E/E/PE safety-related systems.
7.2.3.2 The E/E/PES safety integrity requirements specification shall contain
a) the safety integrity level for each safety function and, when required (see note 2), the
required target failure measure for the safety function;
NOTE 1 The safety integrity level of a safety function determines the target failure measure for the safety
function according to IEC 61508-1, tables 2 and 3.
NOTE 2 The target failure measure of a safety function will need to be specified when the required risk
reduction for the safety function has been derived using a quantitative method (see IEC 61508-1, 7.5.2.2).
b) the mode of operation (low demand or continuous/high demand) of each safety function;
c) the requirements, constraints, functions and facilities to enable the proof testing of the
E/E/PE hardware to be undertaken;
d) the extremes of all environmental conditions that are likely to be encountered during the
E/E/PES safety lifecycle including manufacture, storage, transport, testing, installation,
commissioning, operation and maintenance;
e) the electromagnetic immunity limits (see IEC 61000-1-1) which are required to achieve
electromagnetic compatibility – the electromagnetic immunity limits should be derived
taking into account both the electromagnetic environment (see IEC 61000-2-5) and the
required safety integrity levels;
NOTE 1 It is important to recognise that the safety integrity level is a factor in determining electromagnetic
immunity limits, especially since the level of electromagnetic disturbance in the environment is subject to a
statistical distribution. In most practical situations, it is not possible to specify an absolute level of disturbance,
only a level which it is expected will not be exceeded in practice (this is the electromagnetic compatibility
level). Unfortunately, practical difficulties make the probability associated with this expectation very hard to
define. Therefore, the immunity limit does not guarantee that the E/E/PE safety-related system will not fail due
to electromagnetic disturbances, it only provides some level of confidence that such a failure will not occur.
The actual level of confidence achieved is a function of the immunity limit in relation to the statistical
distribution of the disturbance levels in the operating environment. For higher safety integrity levels it may be
necessary to have a higher level of confidence, which means that the margin by which the immunity limit
exceeds the compatibility level should be greater for higher safety integrity levels.
61508-2 © IEC:2000 – 35 –
NOTE 2 Also, guidance may be found in EMC product standards, but it is important to recognise that higher
immunity levels than those specified in such standards may be necessary for particular locations or when the
equipment is intended for use in harsher electromagnetic environments.
NOTE 3 In developing the E/E/PES safety requirements specification, the application in which the E/E/PE
safety-related systems are to be used should be taken into consid
...
NORME CEI
INTERNATIONALE
61508-2
Première édition
2000-05
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 2:
Prescriptions pour les systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité
Cette version française découle de la publication d’origine
bilingue dont les pages anglaises ont été supprimées.
Les numéros de page manquants sont ceux des pages
supprimées.
Numéro de référence
CEI 61508-2:2000(F)
Numérotation des publications
Depuis le 1er janvier 1997, les publications de la CEI sont numérotées à partir de
60000. Ainsi, la CEI 34-1 devient la CEI 60034-1.
Editions consolidées
Les versions consolidées de certaines publications de la CEI incorporant les
amendements sont disponibles. Par exemple, les numéros d’édition 1.0, 1.1 et 1.2
indiquent respectivement la publication de base, la publication de base incorporant
l’amendement 1, et la publication de base incorporant les amendements 1 et 2
Informations supplémentaires sur les publications de la CEI
Le contenu technique des publications de la CEI est constamment revu par la CEI
afin qu'il reflète l'état actuel de la technique. Des renseignements relatifs à cette
publication, y compris sa validité, sont disponibles dans le Catalogue des
publications de la CEI (voir ci-dessous) en plus des nouvelles éditions, amende-
ments et corrigenda. Des informations sur les sujets à l’étude et l’avancement des
travaux entrepris par le comité d’études qui a élaboré cette publication, ainsi que la
liste des publications parues, sont également disponibles par l’intermédiaire de:
• Site web de la CEI (www.iec.ch)
• Catalogue des publications de la CEI
Le catalogue en ligne sur le site web de la CEI (www.iec.ch/searchpub) vous permet
de faire des recherches en utilisant de nombreux critères, comprenant des
recherches textuelles, par comité d’études ou date de publication. Des informations
en ligne sont également disponibles sur les nouvelles publications, les publications
remplacées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published
Ce résumé des dernières publications parues (www.iec.ch/online_news/justpub)
est aussi disponible par courrier électronique. Veuillez prendre contact avec le
Service client (voir ci-dessous) pour plus d’informations.
• Service clients
Si vous avez des questions au sujet de cette publication ou avez besoin de
renseignements supplémentaires, prenez contact avec le Service clients:
Email: custserv@iec.ch
Tél: +41 22 919 02 11
Fax: +41 22 919 03 00
NORME CEI
INTERNATIONALE
61508-2
Première édition
2000-05
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Sécurité fonctionnelle des systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité –
Partie 2:
Prescriptions pour les systèmes électriques/
électroniques/électroniques programmables
relatifs à la sécurité
IEC 2000 Droits de reproduction réservés
Aucune partie de cette publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun
procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit de l'éditeur.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch Web: www.iec.ch
CODE PRIX
XB
Commission Electrotechnique Internationale
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur
– 2 – 61508-2 © CEI:2000
SOMMAIRE
Pages
AVANT-PROPOS . 6
INTRODUCTION . 10
Articles
1 Domaine d'application. 14
2 Références normatives . 20
3 Définitions et abréviations. 22
4 Conformité à la présente norme . 22
5 Documentation. 22
6 Gestion de la sécurité fonctionnelle . 22
7 Prescriptions du cycle de vie de sécurité E/E/PES . 22
7.1 Généralités . 22
7.2 Spécification des prescriptions de sécurité E/E/PES . 30
7.3 Planification de la validation de la sécurité E/E/PES . 34
7.4 Conception et développement E/E/PES . 36
7.5 Intégration E/E/PES. 70
7.6 Procédures d'exploitation et de maintenance E/E/PES. 72
7.7 Validation de sécurité E/E/PES . 76
7.8 Modification E/E/PES. 78
7.9 Vérification E/E/PES . 78
8 Evaluation de la sécurité fonctionnelle . 82
Annexe A (normative) Techniques et mesures applicables aux systèmes E/E/PE relatifs
à la sécurité: maîtrise des défaillances en exploitation . 84
A.1 Généralités . 84
A.2 Intégrité de sécurité du matériel . 86
A.3 Intégrité de sécurité systématique . 104
Annexe B (normative) Techniques et mesures applicables aux systèmes E/E/PE relatifs
à la sécurité: évitement des défaillances systématiques lors des différentes phases
du cycle de vie . . 116
Annexe C (normative) Couverture de diagnostic et proportion de défaillances en sécurité 136
C.1 Calcul de la couverture de diagnostic et de la proportion de défaillance en sécurité
d’un sous-système . 136
C.2 Détermination des facteurs de couverture de diagnostic. 138
Bibliographie . 142
– 4 – 61508-2 © CEI:2000
Pages
Figure 1 – Structure générale de la CEI 61508 . 18
Figure 2 – Cycle de vie de sécurité E/E/PES (au cours de la phase de réalisation) . 24
Figure 3 – Relation et domaine d'application de la CEI 61508-2 et de la CEI 61508-3 . 26
Figure 4 – Relation entre l’architecture matérielle et l’architecture logicielle de
l'électronique programmable . 38
Figure 5 – Exemple de limitation de l'intégrité de sécurité du matériel pour une fonction
de sécurité à un seul canal. 48
Figure 6 – Exemple de limitation de l'intégrité de sécurité du matériel pour une fonction
de sécurité à plusieurs canaux . 52
Tableau 1 – Présentation du cycle de vie de sécurité E/E/PES. 28
Tableau 2 – Intégrité de sécurité du matériel: contraintes architecturales sur les
sous-systèmes relatifs à la sécurité de type A . 46
Tableau 3 – Intégrité de sécurité du matériel: contraintes architecturales sur les
sous-systèmes relatifs à la sécurité de type B . 46
Tableau A.1 – Anomalies ou défaillances à détecter en exploitation ou à analyser
pour déduire la proportion de défaillances en sécurité. 88
Tableau A.2 – Sous-systèmes électriques . 90
Tableau A.3 – Sous-systèmes électroniques . 92
Tableau A.4 – Unités de traitement . 92
Tableau A.5 – Plages de mémoire invariables . 94
Tableau A.6 – Plages de mémoire variables. 94
Tableau A.7 – Unités d'E/S et interface (communication externe) . 96
Tableau A.8 – Liaisons de données (communication interne) . 96
Tableau A.9 – Alimentation . 98
Tableau A.10 – Séquence programme (chien de garde) . 98
Tableau A.11 – Systèmes de ventilation et de chauffage (le cas échéant) . 100
Tableau A.12 – Horloge. 100
Tableau A.13 – Communication et mémoire de masse. 102
Tableau A.14 – Capteurs. 102
Tableau A.15 – Eléments finaux (actionneurs). 104
Tableau A.16 – Techniques et mesures pour maîtriser les défaillances systématiques
dues à la conception du matériel et du logiciel . 108
Tableau A.17 – Techniques et mesures pour maîtriser les défaillances systématiques
dues aux contraintes ou influences environnementales . 110
Tableau A.18 – Techniques et mesures pour maîtriser les défaillances systématiques
en exploitation. 112
Tableau A.19 – Efficacité des techniques et mesures pour la maîtrise des défaillances
systématiques . 114
Tableau B.1 – Recommandations pour éviter les erreurs lors de la spécification des
prescriptions E/E/PES (voir 7.2) . 120
Tableau B.2 – Recommandations pour éviter l’introduction d’anomalies lors de
la conception et du développement E/E/PES (voir 7.4) . 122
Tableau B.3 – Recommandations pour éviter les anomalies lors de l’intégration
E/E/PES (voir 7.5) .124
Tableau B.4 – Recommandations pour éviter les anomalies et les défaillances pendant
les procédures d'exploitation et de maintenance E/E/PES (voir 7.6) . 126
Tableau B.5 – Recommandations pour éviter les anomalies lors de la validation
de sécurité E/E/PES (voir 7.7). 128
Tableau B.6 – Efficacité des techniques et mesures d’évitement des défaillances
systématiques . 130
– 6 – 61508-2 © CEI:2000
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
––––––––––––––
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 2: Prescriptions pour les systèmes
électriques/électroniques/électroniques programmables
relatifs à la sécurité
AVANT-PROPOS
1) La CEI (Commission Électrotechnique Internationale) est une organisation mondiale de normalisation
composée de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a
pour objet de favoriser la coopération internationale pour toutes les questions de normalisation dans les
domaines de l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes
internationales. Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national
intéressé par le sujet traité peut participer. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement
avec l'Organisation Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les
deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, spécifications techniques, rapports techniques ou guides et agréés comme tels par les
Comités nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 61508-2 a été élaborée par le sous-comité 65A: Aspects
systèmes, du comité d'études 65 de la CEI: Mesure et commande dans les processus
industriels.
Elle a le statut d'une publication fondamentale de sécurité conformément au Guide 104.
Le texte de cette norme est issu des documents suivants:
FDIS Rapport de vote
65A/294/FDIS 65A/303/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
Cette publication a été rédigée selon les Directives ISO/CEI, Partie 3.
– 8 – 61508-2 © CEI:2000
Les annexes A, B et C font partie intégrante de la présente norme.
La CEI 61508 est composée des parties suivantes, regroupées sous le titre général Sécurité
fonctionnelle des systèmes électriques/électroniques/électroniques programmables relatifs à
la sécurité:
– Partie 1: Prescriptions générales
– Partie 2: Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité
– Partie 3: Prescriptions concernant les logiciels
– Partie 4: Définitions et abréviations
– Partie 5: Exemples de méthodes pour la détermination des niveaux d’intégrité de sécurité
– Partie 6: Lignes directrices pour l’application des parties 2 et 3
– Partie 7: Présentation de techniques et mesures
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2006.
A cette date, la publication sera
• reconduite;
• supprimée;
• remplacée par une édition révisée, ou
• amendée.
– 10 – 61508-2 © CEI:2000
INTRODUCTION
Les systèmes électriques/électroniques sont utilisés depuis des années pour exécuter des
fonctions liées à la sécurité dans la plupart des secteurs d'application. Des systèmes à base
d’informatique (que l’on nommera de façon générique: systèmes électroniques
programmables (PES)) sont utilisés dans tous les secteurs d'application pour exécuter des
fonctions non liées à la sécurité, mais aussi de plus en plus souvent liées à la sécurité. Si l'on
veut exploiter efficacement, et en toute sécurité, la technologie des systèmes informatiques, il
est indispensable de fournir à tous les responsables suffisamment d'éléments liés à la
sécurité pour les guider dans leurs prises de décisions.
La présente Norme internationale présente une approche générique de toutes les activités
liées au cycle de vie de sécurité de systèmes électriques/électroniques/électroniques
programmables (E/E/PES) qui sont utilisés pour réaliser des fonctions de sécurité. Cette
approche unifiée a été adoptée afin de développer une politique technique rationnelle et
cohérente concernant tous les appareils électriques liés à la sécurité. L'un des principaux
objectifs poursuivis consiste à faciliter l'élaboration de normes par secteur d'application.
Dans la plupart des cas, la sécurité est obtenue par un certain nombre de systèmes de
protection fondés sur diverses technologies (par exemple mécanique, hydraulique, pneuma-
tique, électrique, électronique, électronique programmable). En conséquence, toute stratégie
de sécurité doit non seulement prendre en compte tous les éléments d'un système individuel,
(par exemple les capteurs, les appareils de commande, les actionneurs), mais elle doit aussi
considérer tous les systèmes relatifs à la sécurité comme des éléments individuels d’un ensemble
complexe. C'est pourquoi la présente Norme internationale, bien que traitant essentiellement des
systèmes E/E/PE relatifs à la sécurité, fournit néanmoins un cadre de sécurité susceptible de
concerner les systèmes relatifs à la sécurité basés sur d’autres technologies.
Personne n'ignore la grande variété des applications E/E/PES. Celles-ci recouvrent, à des
degrés de complexité très divers, un fort potentiel de danger et de risques dans tous les
secteurs d'application. Pour chaque application, la nature exacte des mesures de sécurité
envisagées dépendra de plusieurs facteurs propres à l'application. La présente Norme
internationale, de par son caractère général, rendra désormais possible la prescription de ces
mesures dans des Normes internationales par secteur d'application.
La présente Norme internationale
– concerne toutes les phases appropriées du cycle de vie de sécurité global des E/E/PES et
du logiciel (depuis la conceptualisation initiale, en passant par la conception, l'installation,
l’exploitation et la maintenance, jusqu'à la mise hors service) lorsque les E/E/PES
exécutent des fonctions de sécurité;
– a été élaborée dans le souci de l'évolution rapide des technologies – le cadre fourni par la
présente Norme internationale est suffisamment solide et étendu pour pourvoir aux
évolutions futures;
– permet l'élaboration de Normes internationales par secteur d'application concernant les
E/E/PES relatifs à la sécurité – l'élaboration de Normes internationales par secteur
d'application à partir de la présente Norme internationale devrait permettre d'atteindre un
haut niveau de cohérence (par exemple pour ce qui est des principes sous-jacents, de la
terminologie, de la documentation, etc.) à la fois au sein de chaque secteur d'application,
et d'un secteur à l'autre. La conséquence en étant une amélioration en termes de sécurité
et de bénéfices économiques;
– fournit une méthode de développement des prescriptions de sécurité nécessaires pour
réaliser la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité;
– utilise des niveaux d’intégrité de sécurité afin de spécifier les niveaux cibles d’intégrité de
sécurité des fonctions de sécurité devant être réalisées par les systèmes E/E/PE relatifs à la
sécurité;
– 12 – 61508-2 © CEI:2000
– adopte une approche basée sur le risque encouru pour déterminer les niveaux d’intégrité
de sécurité prescrits;
– fixe des objectifs quantitatifs pour les mesures de défaillances des systèmes E/E/PE
relatifs à la sécurité qui sont en rapport avec les niveaux d’intégrité de sécurité;
– fixe une limite inférieure pour les mesures de défaillances, dans le cas d’un mode de
défaillance dangereux, cette limite pouvant être exigée pour un système E/E/PE relatif à la
sécurité unique; dans le cas d’un système E/E/PE relatif à la sécurité fonctionnant
– dans un mode de faible sollicitation, la limite inférieure est fixée à une probabilité
–5
moyenne de défaillance de 10 afin que les fonctions pour lesquelles le système a été
conçu soient exécutées lorsqu’elles sont requises,
– dans un mode de fonctionnement continu ou de forte sollicitation, la limite inférieure
–9
est fixée à une probabilité de défaillance dangereuse de 10 par heure;
NOTE Un système E/E/PE relatif à la sécurité unique n’implique pas nécessairement une architecture à une seule
voie.
– adopte une large gamme de principes, techniques et mesures pour la réalisation de la
sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité, mais n’utilise pas le
concept de sécurité intrinsèque qui peut être intéressant lorsque les modes de
défaillances sont bien définis et que le niveau de complexité est relativement faible. Le
concept de sécurité intrinsèque a été considéré comme inadéquat en raison de l’immense
gamme de complexité des systèmes E/E/PE relatifs à la sécurité qui entrent dans le
domaine d’application de la présente norme.
– 14 – 61508-2 © CEI:2000
SÉCURITÉ FONCTIONNELLE DES SYSTÈMES
ÉLECTRIQUES/ÉLECTRONIQUES/ÉLECTRONIQUES PROGRAMMABLES
RELATIFS À LA SÉCURITÉ –
Partie 2: Prescriptions pour les systèmes
électriques/électroniques/électroniques programmables
relatifs à la sécurité
1 Domaine d'application
1.1 La présente partie de la norme CEI 61508
a) est destinée à être utilisée uniquement après avoir compris de manière approfondie la
CEI 61508-1 qui fournit le cadre global permettant de réaliser la sécurité fonctionnelle;
b) s'applique à tout système relatif à la sécurité tel que défini dans la CEI 61508-1, qui contient
au moins un composant à base électrique, électronique ou électronique programmable;
c) s'applique à tous les sous-systèmes et leurs composants dans un système E/E/PE relatif
à la sécurité (y compris les capteurs, les actionneurs et l'interface opérateur);
d) spécifie la manière d'affiner les informations développées conformément à la CEI 61508-1,
relatives aux prescriptions de sécurité globales et leur affectation aux systèmes E/E/PE
relatifs à la sécurité, et spécifie la manière dont les prescriptions de sécurité globales
sont affinées en prescriptions de sécurité E/E/PES et en prescriptions d'intégrité de
sécurité E/E/PES;
e) spécifie les prescriptions pour des activités qui doivent être appliquées pendant la
conception et la fabrication des systèmes E/E/PE relatifs à la sécurité (ce qui signifie
qu'elle établit le modèle du cycle de vie de sécurité E/E/PES), à l'exception du logiciel qui
est traité dans la CEI 61508-3 (voir figures 2 et 3) – ces prescriptions comprennent
l'application de techniques et de mesures qui sont classées en fonction du niveau
d'intégrité de sécurité pour éviter et maîtriser les défauts et défaillances;
f) spécifie les informations nécessaires à l'installation, à la mise en service et à la validation
finale de la sécurité des systèmes E/E/PE relatifs à la sécurité;
g) ne s'applique pas à la phase d'exploitation et de maintenance des systèmes E/E/PE
relatifs à la sécurité – celle-ci étant traitée dans la CEI 61508-1 – cependant, la CEI
61508-2 fournit effectivement les prescriptions de préparation des informations et
procédures nécessaires à l'utilisateur pour l'exploitation et la maintenance des systèmes
E/E/PE relatifs à la sécurité;
h) spécifie les prescriptions auxquelles doit satisfaire l'organisation qui effectue une
éventuelle modification des systèmes E/E/PE relatifs à la sécurité.
NOTE 1 Cette partie de la CEI 61508 est principalement destinée aux fournisseurs et/ou aux services techniques
internes des entreprises. C'est pour cette raison qu'elle comprend les prescriptions applicables en matière de
modification.
NOTE 2 La relation entre la CEI 61508-2 et la CEI 61508-3 est illustrée à la figure 3.
1.2 Les CEI 61508-1, 61508-2, 61508-3 et 61508-4 sont des publications fondamentales de
sécurité, bien que ce statut ne s’applique pas dans le cas de systèmes E/E/PE de sécurité de
faible complexité (voir 3.4.4 de la CEI 61508-4). En tant que publications fondamentales de
sécurité, elles sont destinées à être utilisées par tous les comités d’études pour la mise au
point de leurs normes, conformément aux principes décrits dans le Guide 104 de la CEI et
dans le Guide 51 ISO/CEI. La CEI 61508 est également prévue pour une utilisation en tant
que norme autonome.
– 16 – 61508-2 © CEI:2000
L’une des responsabilités d’un comité d’études est, chaque fois que cela peut s’appliquer,
d’utiliser les publications fondamentales de sécurité pour préparer ses propres publications.
Dans ce contexte, les prescriptions, les méthodes d’essais ou les conditions d’essais de la
présente publication fondamentale de sécurité ne sont pas applicables, sauf s’il y est
spécifiquement fait référence, ou si elles sont incorporées dans les publications préparées
par ces comités d’études.
NOTE 1 La sécurité fonctionnelle d’un système E/E/PE relatif à la sécurité ne peut être réalisée que lorsque
toutes les prescriptions pertinentes sont remplies. En conséquence, il est important que toutes les prescriptions
pertinentes soient prises en considération avec soin et référencées de façon appropriée.
NOTE 2 Aux Etats-Unis et au Canada, dans l’attente de la publication de la future CEI 61511 (la version de la
CEI 61508 pour le processus) les normes nationales existantes pour la sécurité des processus industriels basés
sur la CEI 61508 (c'est-à-dire ANSI/ISA-S84.01) peuvent être appliquées au domaine des processus industriels à
la place de la CEI 61508.
1.3 La figure 1 montre la structure générale des parties 1 à 7 de la CEI 61508 et indique
le rôle que la CEI 61508-2 joue dans la réalisation de la sécurité fonctionnelle pour les
systèmes E/E/PE relatifs à la sécurité. L’annexe A de la CEI 61508-6 décrit l’application des
CEI 61508-2 et 61508-3.
– 18 – 61508-2 © CEI:2000
Prescriptions
PARTIE 1 techniques
Développement des prescriptions globales
de sécurité (concept, définition du domaine
d’application, analyse de danger et de
risque) (Systèmes E/E/PE relatifs à la sécurité,
PARTIE 5
systèmes relatifs à la sécurité basés sur d’autres
Approches basées sur le
technologies et dispositifs externes de réduction
risque pour le développement
de risque)
des prescriptions d’intégrité
7.1 à 7.5
de sécurité
PARTIE 1 Autres
prescriptions
Allocation des prescriptions
de sécurité aux systèmes
E/E/PE relatifs à la sécurité
PARTIE 7
Définitions et
7.6
abréviations
Présentation des
techniques
et mesures
PARTIE 4
PARTIE 6
Lignes directrices pour
Phase de
Phase de
Documentation
la mise en œuvre des
réalisation pour
réalisation des
Article 5 et
les systèmes parties 2 et 3
logiciels relatifs
annexe A
E/E/PE relatifs à
à la sécurité
la sécurité
PARTIE 1
PARTIE 2 PARTIE 3
Gestion de la
sécurité fonctionnelle
Article 6
PARTIE 1
PARTIE 1
Installation, mise en service et
validation de la sécurité des
systèmes E/E/PE relatifs à la Evaluation de la
sécurité fonctionnelle
sécurité
Article 8
7.13 et 7.14
PARTIE 1
PARTIE 1
Exploitation et maintenance,
modification et remise à niveau, mise
hors service ou au rebut des
systèmes E/E/PE relatifs à la sécurité
7.15 à 7.17
IEC 312/2000
Figure 1 – Structure générale de la CEI 61508
– 20 – 61508-2 © CEI:2000
2 Références normatives
Les documents normatifs suivants contiennent des dispositions qui, par suite de la référence
qui y est faite, constituent des dispositions valables pour la présente partie de la CEI 61508.
Pour les références datées, les amendements ultérieurs ou les révisions de ces publications
ne s’appliquent pas. Toutefois, les parties prenantes aux accords fondés sur la présente
partie de la CEI 61508 sont invitées à rechercher la possibilité d'appliquer les éditions les
plus récentes des documents normatifs indiqués ci-après. Pour les références non datées, la
dernière édition du document normatif en référence s’applique. Les membres de la CEI et de
l'ISO possèdent le registre des Normes internationales en vigueur.
CEI 60050(371):1984, Vocabulaire Electrotechnique International (VEI) – Chapitre 371:
Téléconduite
CEI 60300-3-2:1993, Gestion de la sûreté de fonctionnement – Partie 3: Guide d'application –
Section 2: Recueil de données de sûreté de fonctionnement dans des conditions
d'exploitation
CEI 61000-1-1:1992, Compatibilité électromagnétique (CEM) – Partie 1: Généralités – Section 1:
Application et interprétation de définitions et termes fondamentaux
CEI 61000-2-5:1995, Compatibilité électromagnétique (CEM) – Partie 2: Environnement –
Section 5: Classification des environnements électromagnétiques – Publication fondamentale
en CEM
CEI 61508-1:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 1: Prescriptions générales
CEI 61508-3:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 3: Prescriptions concernant les logiciels
CEI 61508-4:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 4: Définitions et abréviations
CEI 61508-5:1998, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 5: Exemples de méthodes pour la détermination
des niveaux d'intégrité de sécurité
CEI 61508-6, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 6: Lignes directrices pour l'application des
1)
parties 2 et 3
CEI 61508-7:2000, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité – Partie 7: Présentation de techniques et mesures
Guide CEI 104:1997, Elaboration des publications de sécurité et utilisation des publications
fondamentales de sécurité et publications groupées de sécurité
Guide ISO/CEI 51:1990, Principes directeurs pour inclure dans les normes les aspects liés à
la sécurité
IEEE 352:1987, IEEE guide for general principles of reliability analysis of nuclear power
generating station safety systems
———————
1)
A publier.
– 22 – 61508-2 © CEI:2000
3 Définitions et abréviations
Pour les besoins de la présente partie de la CEI 61508, les définitions ainsi que les
abréviations données dans la CEI 61508-4 s'appliquent.
4 Conformité à la présente norme
Les prescriptions de conformité à la présente norme sont détaillées à l'article 4 de la
CEI 61508-1.
5 Documentation
Les prescriptions relatives à la documentation sont détaillées à l'article 5 de la 61508-1.
6 Gestion de la sécurité fonctionnelle
Les prescriptions pour la gestion de la sécurité fonctionnelle sont détaillées à l'article 6 de la
CEI 61508-1.
7 Prescriptions du cycle de vie de sécurité E/E/PES
7.1 Généralités
7.1.1 Objectifs et prescriptions: Généralités
7.1.1.1 Le présent paragraphe établit les objectifs et les prescriptions pour les phases du
cycle de vie de sécurité E/E/PES.
NOTE La CEI 61508-1 donne les objectifs et les prescriptions du cycle de vie de sécurité global, ainsi qu'une
introduction générale à la structure de la norme.
7.1.1.2 Pour toutes les phases du cycle de vie de sécurité E/E/PES, le tableau 1 indique
– les objectifs à atteindre;
– le domaine d'application de la phase concernée;
– une référence au paragraphe qui contient les prescriptions;
– les données requises pour les phases;
– les résultats requis pour satisfaire aux prescriptions du paragraphe concerné.
7.1.2 Objectifs
Le premier objectif des prescriptions de ce paragraphe est de structurer de manière
7.1.2.1
systématique les phases du cycle de vie de sécurité E/E/PES qui doivent être prises en
compte afin de réaliser la sécurité fonctionnelle exigée des systèmes E/E/PE relatifs à la
sécurité.
7.1.2.2 Le second objectif des prescriptions de ce paragraphe est de recenser toutes les
informations concernant la sécurité fonctionnelle des systèmes E/E/PE relatifs à la sécurité
sur l'ensemble du cycle de vie de sécurité E/E/PES.
– 24 – 61508-2 © CEI:2000
7.1.3 Prescriptions
7.1.3.1 Le cycle de vie de sécurité E/E/PES qui doit être utilisé pour déclarer la conformité à
la présente norme est celui spécifié à la figure 2. Si un autre cycle de vie de sécurité E/E/PES
est utilisé, il doit être spécifié au cours de la planification de la sécurité fonctionnelle (voir
article 6 de la CEI 61508-1) et satisfaire à l'ensemble des objectifs et prescriptions de chaque
paragraphe de la CEI 61508-2.
NOTE Les relations entre la CEI 61508-2 et la CEI 61508-3, ainsi que leurs domaines d’application respectifs
sont illustrés à la figure 3.
7.1.3.2 Les procédures de gestion de la sécurité fonctionnelle (voir article 6 de la
CEI 61508-1) doivent être exécutées parallèlement aux phases du cycle de vie de sécurité
E/E/PES.
7.1.3.3 Chaque phase du cycle de vie de sécurité E/E/PES doit être divisée en activités
élémentaires, en tenant compte du domaine d'application, des données et des résultats
spécifiés pour chaque phase (voir tableau 1).
7.1.3.4 Sauf lorsque cela est justifié lors de la planification de la sécurité fonctionnelle, les
résultats de chaque phase du cycle de vie de sécurité E/E/PES doivent être documentés (voir
article 5 de la CEI 61508-1).
7.1.3.5 Les résultats de chaque phase du cycle de vie de sécurité E/E/PES doivent satisfaire
aux objectifs et prescriptions spécifiés pour chaque phase (voir 7.2 à 7.9).
Case 9 de la figure 2
dans la partie 1
Cycle de vie de sécurité de systèmes E/E/PES
Systèmes
relatifs à la
sécurité
9.1 Spécification des prescriptions
E/E/PES
de sécurité E/E/PES
Spécification des Spécification des
Réalisation
9.1.1 9.1.2
prescriptions des prescriptions d'intégrité
fonctions de sécurité de sécurité
Planification de la Conception et
9.2
9.3
validation de la développement
sécurité E/E/PES E/E/PES
Procédures d'exploitation
9.4 9.5
Intégration E/E/PES
et de maintenance E/E/PES
Validation de la
9.6
sécurité E/E/PES
Un cycle de vie de
Vers case 14 de la
sécurité E/E/PES pour
figure 2 dans la partie 1
chaque système E/E/PES
relatif à la sécurité
Vers case 12 de la figure 2 dans la partie 1
IEC 313/2000
NOTE Voir également la CEI 61508-6, A.2(b).
Figure 2 – Cycle de vie de sécurité E/E/PES (au cours de la phase de réalisation)
– 26 – 61508-2 © CEI:2000
Domaine
d'application de la
partie 2
Spécification des
Architecture
prescriptions de
E/E/PES
sécurité E/E/PES
Prescriptions de sécurité du matériel
Domaine
Prescriptions de
Matériel électronique Matériel non
d'application de
programmable
sécurité logiciel programmable
la partie 3
Conception et
Conception et
Conception et
développement du
développement de
développement
matériel non
l'électronique
du logiciel
programmable
programmable
Intégration de l'électronique
programmable Intégration
(matériel et logiciel)
E/E/PES
IEC 314/2000
Figure 3 – Relation et domaine d'application de la CEI 61508-2 et de la CEI 61508-3
– 28 – 61508-2 © CEI:2000
Tableau 1 – Présentation du cycle de vie de sécurité E/E/PES
Phase ou activité du cycle
de vie de sécurité
Paragraphe
Domaine
Objectifs des Données Résultats
Figure 2
d'application
prescriptions
numéro Titre
de la case
9.1 Spécification Spécifie des prescriptions Systèmes 7.2.2 Description de Prescriptions de sécurité
des prescrip- pour chaque système E/E/PE E/E/PE relatifs l'attribution des E/E/PES
tions de relatif à la sécurité en termes à la sécurité prescriptions de
Prescriptions de sécurité
sécurité de fonctions de sécurité sécurité (voir
du logiciel pour contribution
E/E/PES requises et d'intégrité de 7.6 de la
à la spécification des pres-
sécurité requise afin CEI 61508-1).
criptions de sécurité du
d'obtenir la sécurité
logiciel.
fonctionnelle requise
9.2 Planification Planifie la validation de la Systèmes 7.3.2 Prescriptions Plan de validation de
de la validation sécurité des systèmes E/E/PE relatifs de sécurité la sécurité des systèmes
de la sécurité E/E/PE relatifs à la sécurité à la sécurité E/E/PES E/E/PE relatifs à la
E/E/PES sécurité.
Conception et Permet de concevoir les Systèmes 7.4.2 Prescriptions Conception des systèmes
9.3
développement systèmes E/E/PE relatifs à E/E/PE relatifs à de sécurité E/E/PE relatifs à la
E/E/PES la sécurité de manière qu'ils à la sécurité 7.4.9 E/E/PES sécurité, conformément aux
soient conformes aux prescriptions de sécurité
E/E/PES
prescriptions des fonctions
de sécurité et d'intégrité de
Plan de tests d'intégration
sécurité
E/E/PES
Information sur l’archi-
tecture PES en tant que
contribution à la spécifi-
cation de prescriptions
de sécurité du logiciel
9.4 Intégration Permet l'intégration et les Systèmes 7.5.2 Conception Systèmes E/E/PE relatifs
E/E/PES tests des systèmes E/E/PE E/E/PE relatifs E/E/PES à la sécurité, pleinement
relatifs à la sécurité à la sécurité fonctionnels et conformes
Plan de tests
à la conception E/E/PES
d'intégration
E/E/PES Résultats des tests
d’intégration E/E/PES
Parties matériel
et logiciel de
l’électronique
programmable
9.5 Procédures Développe des procédures Systèmes 7.6.2 Prescriptions Procédures d’installation,
d'exploitation permettant de s'assurer que E/E/PE relatifs de sécurité de mise en service,
et de la sécurité fonctionnelle des à la sécurité E/E/PES d'exploitation et de
maintenance systèmes E/E/PE relatifs à la EUC Conception maintenance pour chaque
E/E/PES sécurité est maintenue en E/E/PES E/E/PES individuel
cours d'exploitation et de
maintenance
9.6 Validation de Valide la conformité, à tous Systèmes 7.7.2 Prescriptions Systèmes E/E/PE relatifs à
la sécurité égards, des systèmes E/E/PE relatifs de sécurité la sécurité pleinement
E/E/PES E/E/PE relatifs à la sécurité, à la sécurité E/E/PES; validés en termes de
aux prescriptions de sécurité sécurité
Plan de
en termes de fonctions de
validation de la Résultats de la validation
sécurité requises et
sécurité des de sécurité E/E/PES
d'intégrité de sécurité
systèmes
requise
E/E/PE relatifs
à la sécurité
– Modification Mise en œuvre de Systèmes 7.8.2 Prescriptions Résultats de modification
E/E/PES corrections, d'amélioration E/E/PE relatifs de sécurité E/E/PES
ou d'adaptation aux
à la sécurité E/E/PES
systèmes E/E/PE relatifs
à la sécurité afin de
s'assurer que le niveau
d'intégrité de sécurité exigé
est effectivement réalisé et
maintenu
– Vérification Permet de tester et d'évaluer Systèmes 7.9.2 Comme ci- Comme ci-dessus – en
E/E/PES les résultats d'une phase E/E/PE relatifs dessus – en fonction de la phase
donnée afin de s'assurer à la sécurité fonction de la
Pour chaque phase,
qu'ils sont corrects et phase
résultats de la vérification
conformes aux produits et
Pour chaque des systèmes E/E/PE
normes donnés pour cette
phase, plan de relatifs à la sécurité
phase
vérification des
systèmes
E/E/PE relatifs
à la sécurité
– Evaluation Enquête et conclusion quant Systèmes 8 Plan Résultats de l'évaluation
de la sécurité à la sécurité fonctionnelle E/E/PE relatifs d'évaluation de la sécurité fonctionnelle
fonctionnelle réalisée par les systèmes à la sécurité de sécurité E/E/PES
E/E/PES E/E/PE relatifs à la sécurité fonctionnelle
E/E/PES
– 30 – 61508-2 © CEI:2000
7.2 Spécification des prescriptions de sécurité E/E/PES
NOTE Cette phase est représentée dans la case 9.1 de la figure 2.
7.2.1 Objectif
L'objectif des prescriptions de ce paragraphe est de spécifier les prescriptions pour chaque
système E/E/PE relatif à la sécurité en termes de fonctions de sécurité requises et d'intégrité
de sécurité requise, afin d'obtenir la sécurité fonctionnelle exigée.
NOTE Par exemple, des fonctions de sécurité peuvent être exigées pour mettre ou maintenir l'EUC dans un état
sûr.
7.2.2 Prescriptions générales
7.2.2.1 La spécification des prescriptions de sécurité E/E/PES doit résulter de l'attribution
des prescriptions de sécurité telles que décrites en 7.6 de la CEI 61508-1 et des prescriptions
spécifiées lors de la planification de la sécurité fonctionnelle (voir article 6 de la CEI 61508-1).
Ces informations doivent être mises à la disposition du responsable du développement
E/E/PES.
NOTE Il convient de prendre des précautions particulières lorsque des fonctions non relatives à la sécurité et des
fonctions de sécurité sont mises en œuvre dans le même système E/E/PE relatif à la sécurité. Alors que la
présence simultanée de ces types de fonction est admise dans la présente norme, elle peut donner lieu à une plus
grande complexité et rendre plus difficile l'exécution des activités du cycle de vie de sécurité E/E/PE (par exemple,
la conception, la validation, l'évaluation et le maintien de la sécurité fonctionnelle).
7.2.2.2 Les prescriptions de sécurité E/E/PES doivent être exprimées et structurées pour
qu'elles soient
a) claires, précises, sans ambiguïté, vérifiables, testables, maintenables et faisables; et
b) écrites de manière à pouvoir être comprises par ceux qui sont susceptibles d'utiliser les
informations à toute étape du cycle de vie de sécurité E/E/PES.
7.2.2.3 La spécification des prescriptions de sécurité E/E/PES doit contenir les prescriptions
applicables aux fonctions de sécurité E/E/PES (voir 7.2.3.1) ainsi que les prescriptions
applicables à l’intégrité de sécurité E/E/PES (voir 7.2.3.2).
7.2.3 Prescriptions de sécurité E/E/PES
7.2.3.1 La spécification des prescriptions des fonctions de sécurité E/E/PES doit contenir
a) une description de toutes les fonctions de sécurité nécessaires à la réalisation de la
sécurité fonctionnelle requise et celle-ci doit, pour chaque fonction de sécurité
– fournir des prescriptions globales suffisamment étendues et détaillées pour la
conception et le développement des systèmes E/E/PE relatifs à la sécurité,
– décrire la manière dont les systèmes E/E/PE relatifs à la sécurité ont l'intention de
réaliser ou de maintenir un état sûr de l'EUC,
– préciser la nécessité d'une commande continue ou non ainsi que les périodes
correspondantes, lorsqu'il s'agit d'
...
IEC 61508-2
Edition 1.0 2000-05
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 2: Requirements for electrical/electronic/programmable electronic
safety-related systems
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 2: Prescriptions pour les systèmes électriques/électroniques/
électroniques programmables relatifs à la sécurité
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by
any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either IEC or
IEC's member National Committee in the country of the requester.
If you have any questions about IEC copyright or have an enquiry about obtaining additional rights to this publication,
please contact the address below or your local IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite
ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie
et les microfilms, sans l'accord écrit de la CEI ou du Comité national de la CEI du pays du demandeur.
Si vous avez des questions sur le copyright de la CEI ou si vous désirez obtenir des droits supplémentaires sur cette
publication, utilisez les coordonnées ci-après ou contactez le Comité national de la CEI de votre pays de résidence.
IEC Central Office
3, rue de Varembé
CH-1211 Geneva 20
Switzerland
Email: inmail@iec.ch
Web: www.iec.ch
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigenda or an amendment might have been published.
ƒ Catalogue of IEC publications: www.iec.ch/searchpub
The IEC on-line Catalogue enables you to search by a variety of criteria (reference number, text, technical committee,…).
It also gives information on projects, withdrawn and replaced publications.
ƒ IEC Just Published: www.iec.ch/online_news/justpub
Stay up to date on all new IEC publications. Just Published details twice a month all new publications released. Available
on-line and also by email.
ƒ Electropedia: www.electropedia.org
The world's leading online dictionary of electronic and electrical terms containing more than 20 000 terms and definitions
in English and French, with equivalent terms in additional languages. Also known as the International Electrotechnical
Vocabulary online.
ƒ Customer Service Centre: www.iec.ch/webstore/custserv
If you wish to give us your feedback on this publication or need further assistance, please visit the Customer Service
Centre FAQ or contact us:
Email: csc@iec.ch
Tel.: +41 22 919 02 11
Fax: +41 22 919 03 00
A propos de la CEI
La Commission Electrotechnique Internationale (CEI) est la première organisation mondiale qui élabore et publie des
normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications CEI
Le contenu technique des publications de la CEI est constamment revu. Veuillez vous assurer que vous possédez
l’édition la plus récente, un corrigendum ou amendement peut avoir été publié.
ƒ Catalogue des publications de la CEI: www.iec.ch/searchpub/cur_fut-f.htm
Le Catalogue en-ligne de la CEI vous permet d’effectuer des recherches en utilisant différents critères (numéro de référence,
texte, comité d’études,…). Il donne aussi des informations sur les projets et les publications retirées ou remplacées.
ƒ Just Published CEI: www.iec.ch/online_news/justpub
Restez informé sur les nouvelles publications de la CEI. Just Published détaille deux fois par mois les nouvelles
publications parues. Disponible en-ligne et aussi par email.
ƒ Electropedia: www.electropedia.org
Le premier dictionnaire en ligne au monde de termes électroniques et électriques. Il contient plus de 20 000 termes et
définitions en anglais et en français, ainsi que les termes équivalents dans les langues additionnelles. Egalement appelé
Vocabulaire Electrotechnique International en ligne.
ƒ Service Clients: www.iec.ch/webstore/custserv/custserv_entry-f.htm
Si vous désirez nous donner des commentaires sur cette publication ou si vous avez des questions, visitez le FAQ du
Service clients ou contactez-nous:
Email: csc@iec.ch
Tél.: +41 22 919 02 11
Fax: +41 22 919 03 00
IEC 61508-2
Edition 1.0 2000-05
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
BASIC SAFETY PUBLICATION
PUBLICATION FONDAMENTALE DE SÉCURITÉ
Functional safety of electrical/electronic/programmable electronic
safety-related systems –
Part 2: Requirements for electrical/electronic/programmable electronic
safety-related systems
Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques
programmables relatifs à la sécurité –
Partie 2: Prescriptions pour les systèmes électriques/électroniques/
électroniques programmables relatifs à la sécurité
INTERNATIONAL
ELECTROTECHNICAL
COMMISSION
COMMISSION
ELECTROTECHNIQUE
PRICE CODE
INTERNATIONALE
XB
CODE PRIX
ICS 25.040.40 ISBN 2-8318-5195-5
61508-2 © IEC:2000 – 3 –
– 2 –– 2 – 61508-2 © IEC:200061508-2 © IEC:2000
CONTENTS
Page
FOREWORD .4
INTRODUCTION . .6
Clause
1 Scope . .8
2 Normative references. 11
3 Definitions and abbreviations . 12
4 Conformance to this standard . 12
5 Documentation. 12
6 Management of functional safety. 12
7 E/E/PES safety lifecycle requirements . 12
7.1 General. 12
7.2 E/E/PES safety requirements specification. 16
7.3 E/E/PES safety validation planning . 18
7.4 E/E/PES design and development. 19
7.5 E/E/PES integration . 36
7.6 E/E/PES operation and maintenance procedures . 37
7.7 E/E/PES safety validation . 39
7.8 E/E/PES modification. 40
7.9 E/E/PES verification. 40
8 Functional safety assessment . 42
Annex A (normative) Techniques and measures for E/E/PE safety-related systems:
control of failures during operation . 43
A.1 General. 43
A.2 Hardware safety integrity. 44
A.3 Systematic safety integrity. 53
Annex B (normative) Techniques and measures for E/E/PE safety-related systems:
avoidance of systematic failures during the different phases of the lifecycle . 59
Annex C (normative) Diagnostic coverage and safe failure fraction . 69
C.1 Calculation of diagnostic coverage and safe failure fraction of a subsystem . 69
C.2 Determination of diagnostic coverage factors . 70
Bibliography . 72
61508-2 © IEC:2000 – 5 –
61508-2 © IEC:200261508-2 © IEC:2000 – 3 –– 3 –
Page
Figure 1 – Overall framework of IEC 61508 .10
Figure 2 – E/E/PES safety lifecycle (in realisation phase).13
Figure 3 – Relationship and scope for IEC 61508-2 and IEC 61508-3.14
Figure 4 – Relationship between the hardware and software architectures of
programmable electronics .20
Figure 5 – Example limitation on hardware safety integrity for a single-channel
safety function.25
Figure 6 – Example limitation on hardware safety integrity for a multiple-channel
safety function.27
Table 1 – Overview – Realisation phase of the E/E/PES safety lifecycle.15
Table 2 – Hardware safety integrity: architectural constraints on type A safety-related
subsystems .24
Table 3 – Hardware safety integrity: architectural constraints on type B safety-related
subsystems .24
Table A.1 – Faults or failures to be detected during operation or to be analysed in
the derivation of safe failure fraction.45
Table A.2 – Electrical subsystems .46
Table A.3 – Electronic subsystems.47
Table A.4 – Processing units .47
Table A.5 – Invariable memory ranges .48
Table A.6 – Variable memory ranges.48
Table A.7 – I/O units and interface (external communication) .49
Table A.8 – Data paths (internal communication) .49
Table A.9 – Power supply.50
Table A.10 – Program sequence (watch-dog) .50
Table A.11 – Ventilation and heating system (if necessary) . 5 1
Table A.12 – Clock . 51
Table A.13 – Communication and mass-storage. 52
Table A.14 – Sensors . 52
Table A.15 – Final elements (actuators) . 53
Table A.16 – Techniques and measures to control systematic failures caused by
hardware and software design. 55
Table A.17 – Techniques and measures to control systematic failures caused by
environmental stress or influences . 56
Table A.18 – Techniques and measures to control systematic operational failures . 57
Table A.19 – Effectiveness of techniques and measures to control systematic failures . 58
Table B.1 – Recommendations to avoid mistakes during specification of E/E/PES
requirements (see 7.2) . 61
Table B.2 – Recommendations to avoid introducing faults during E/E/PES design and
development (see 7.4). 62
Table B.3 – Recommendations to avoid faults during E/E/PES integration (see 7.5). 63
Table B.4 – Recommendations to avoid faults and failures during E/E/PES operation
and maintenance procedures (see 7.6). 64
Table B.5 – Recommendations to avoid faults during E/E/PES safety validation
(see 7.7) . 65
Table B.6 – Effectiveness of techniques and measures to avoid systematic failures . 66
61508-2 © IEC:2000 – 7 –
– 4 –– 4 – 61508-2 © IEC:200061508-2 © IEC:2000
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 2: Requirements for electrical/electronic/programmable
electronic safety-related systems
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 61508-2 has been prepared by subcommittee 65A: System
aspects, of IEC technical committee 65: Industrial-process measurement and control.
It has the status of a basic safety publication according to IEC Guide 104.
The text of this standard is based on the following documents:
FDIS Report on voting
65A/294/FDIS 65A/303/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
This publication has been drafted in accordance with the ISO/IEC Directives, Part 3.
61508-2 © IEC:2000 – 9 –
61508-2 © IEC:200261508-2 © IEC:2000 – 5 –– 5 –
Annexes A, B, and C form an integral part of this standard.
IEC 61508 consists of the following parts, under the general title Functional safety of
electrical/electronic/programmable electronic safety-related systems:
– Part 1: General requirements
– Part 2: Requirements for electrical/electronic/programmable electronic safety-related sys-
tems
– Part 3: Software requirements
– Part 4: Definitions and abbreviations
– Part 5: Examples of methods for the determination of safety integrity levels
– Part 6: Guidelines on the application of parts 2 and 3
– Part 7: Overview of techniques and measures
The committee has decided that the contents of this publication will remain unchanged
until 2006. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended.
61508-2 © IEC:2000 – 11 –
– 6 –– 6 – 61508-2 © IEC:200061508-2 © IEC:2000
INTRODUCTION
Systems comprised of electrical and/or electronic components have been used for many years
to perform safety functions in most application sectors. Computer-based systems (generically
referred to as programmable electronic systems (PESs)) are being used in all application
sectors to perform non-safety functions and, increasingly, to perform safety functions. If
computer system technology is to be effectively and safely exploited, it is essential that those
responsible for making decisions have sufficient guidance on the safety aspects on which to
make those decisions.
This International Standard sets out a generic approach for all safety lifecycle activities for
systems comprised of electrical and/or electronic and/or programmable electronic components
(electrical/electronic/programmable electronic systems (E/E/PESs)) that are used to perform
safety functions. This unified approach has been adopted in order that a rational and
consistent technical policy be developed for all electrically based safety-related systems. A
major objective is to facilitate the development of application sector standards.
In most situations, safety is achieved by a number of protective systems which may rely on
many technologies (for example mechanical, hydraulic, pneumatic, electrical, electronic,
programmable electronic). Any safety strategy must therefore consider not only all the
elements within an individual system (for example sensors, controlling devices and actuators)
but also all the safety-related systems making up the total combination of safety-related
systems. Therefore, while this International Standard is concerned with electrical/electronic/
programmable electronic (E/E/PE) safety-related systems, it may also provide a framework
within which safety-related systems based on other technologies may be considered.
It is recognised that there is a great variety of E/E/PES applications in a variety of application
sectors and covering a wide range of complexity, hazard and risk potentials. In any particular
application, the required safety measures will be dependent on many factors specific to the
application. This International Standard, by being generic, will enable such measures to be
formulated in future application sector International Standards.
This International Standard
– considers all relevant overall, E/E/PES and software safety lifecycle phases (for example,
from initial concept, through design, implementation, operation and maintenance to
decommissioning) when E/E/PESs are used to perform safety functions;
– has been conceived with a rapidly developing technology in mind; the framework is
sufficiently robust and comprehensive to cater for future developments;
– enables application sector International Standards, dealing with safety-related E/E/PESs,
to be developed; the development of application sector International Standards, within the
framework of this International Standard, should lead to a high level of consistency (for
example, of underlying principles, terminology, etc.) both within application sectors and
across application sectors; this will have both safety and economic benefits;
– provides a method for the development of the safety requirements specification necessary
to achieve the required functional safety for E/E/PE safety-related systems;
– uses safety integrity levels for specifying the target level of safety integrity for the safety
functions to be implemented by the E/E/PE safety-related systems;
61508-2 © IEC:2000 – 13 –
61508-2 © IEC:200261508-2 © IEC:2000 – 7 –– 7 –
– adopts a risk-based approach for the determination of the safety integrity level
requirements;
– sets numerical target failure measures for E/E/PE safety-related systems which are linked
to the safety integrity levels;
– sets a lower limit on the target failure measures, in a dangerous mode of failure, that can
be claimed for a single E/E/PE safety-related system; for E/E/PE safety-related systems
operating in
– a low demand mode of operation, the lower limit is set at an average probability of
–5
failure of 10 to perform its design function on demand,
– a high demand or continuous mode of operation, the lower limit is set at a probability
–9
of a dangerous failure of 10 per hour;
NOTE A single E/E/PE safety-related system does not necessarily mean a single-channel architecture.
– adopts a broad range of principles, techniques and measures to achieve functional safety
for E/E/PE safety-related systems, but does not rely on the concept of fail safe which may
be of value when the failure modes are well defined and the level of complexity is relatively
low. The concept of fail safe was considered inappropriate because of the full range of
complexity of E/E/PE safety-related systems that are within the scope of the standard.
61508-2 © IEC:2000 – 15 –
– 8 –– 8 – 61508-2 © IEC:200061508-2 © IEC:2000
FUNCTIONAL SAFETY OF ELECTRICAL/ELECTRONIC/PROGRAMMABLE
ELECTRONIC SAFETY-RELATED SYSTEMS –
Part 2: Requirements for electrical/electronic/programmable
electronic safety-related systems
1 Scope
1.1 This part of IEC 61508
a) is intended to be used only after a thorough understanding of IEC 61508-1, which
provides the overall framework for the achievement of functional safety;
b) applies to any safety-related system, as defined by IEC 61508-1, which contains at least
one electrical, electronic or programmable electronic based component;
c) applies to all subsystems and their components within an E/E/PE safety-related system
(including sensors, actuators and the operator interface);
d) specifies how to refine the information developed in accordance with IEC 61508-1,
concerning the overall safety requirements and their allocation to E/E/PE safety-related
systems, and specifies how the overall safety requirements are refined into E/E/PES
safety functions requirements and E/E/PES safety integrity requirements;
e) specifies requirements for activities that are to be applied during the design and
manufacture of the E/E/PE safety-related systems (i.e. establishes the E/E/PES safety
lifecycle model), except for software, which is dealt with by IEC 61508-3 (see figures 2
and 3) – these requirements include the application of techniques and measures, which
are graded against the safety integrity level, for the avoidance of, and control of, faults
and failures;
f) specifies the information necessary for carrying out the installation, commissioning and
final safety validation of the E/E/PE safety-related systems;
g) does not apply to the operation and maintenance phase of the E/E/PE safety-related
systems – this is dealt with in IEC 61508-1 – however, IEC 61508-2 does provide
requirements for the preparation of information and procedures needed by the user for the
operation and maintenance of the E/E/PE safety-related systems;
h) specifies requirements to be met by the organisation carrying out any modification of
the E/E/PE safety-related systems.
NOTE 1 This part of IEC 61508 is mainly directed at suppliers and/or in-company engineering departments, hence
the inclusion of requirements for modification.
NOTE 2 The relationship between IEC 61508-2 and IEC 61508-3 is illustrated in figure 3.
1.2 IEC 61508-1, IEC 61508-2, IEC 61508-3 and IEC 61508-4 are basic safety publications,
although this status does not apply in the context of low complexity E/E/PE safety-related
systems (see 3.4.4 of IEC 61508-4). As basic safety publications, they are intended for use by
technical committees in the preparation of standards in accordance with the principles
contained in IEC Guide 104 and ISO/IEC Guide 51. IEC 61508 is also intended for use as a
stand-alone standard.
61508-2 © IEC:2000 – 17 –
61508-2 © IEC:200261508-2 © IEC:2000 – 9 –– 9 –
One of the responsibilities of a technical committee is, wherever applicable, to make use of
basic safety publications in the preparation of its publications. In this context, the
requirements, test methods or test conditions of this basic safety publication will not apply
unless specifically referred to or included in the publications prepared by those technical
committees.
NOTE 1 The functional safety of an E/E/PE safety-related system can only be achieved when all related
requirements are met. Therefore, it is important that all related requirements are carefully considered and
adequately referenced.
NOTE 2 In the USA and Canada, until the proposed sector implementation of IEC 61508 (i.e. IEC 61511) is
published as an international standard in the USA and Canada, existing national process safety standards based
on IEC 61508 (i.e. ANSI/ISA-S84.01) can be applied to the process sector instead of IEC 61508.
1.3 Figure 1 shows the overall framework for parts 1 to 7 of IEC 61508 and indicates the role
that IEC 61508-2 plays in the achievement of functional safety for E/E/PE safety-related
systems. Annex A of IEC 61508-6 describes the application of IEC 61508-2 and IEC 61508-3.
61508-2 © IEC:2000 – 19 –
– 10 –– 10 – 61508-2 © IEC:200061508-2 © IEC:2000
Technical
requirements
PART 1
Development of the overall safety
requirements (concept, scope
definition, hazard and risk analysis)
(E/E/PE safety-related systems, other PART 5
technology safety-related systems and
Risk based approaches
external risk reduction facilities)
to the development of
7.1 to 7.5
the safety integrity
requirements
Other
PART 1
requirements
Allocation of the safety
requirements to the E/E/PE
safety-related systems
PART 7
Definitions and
7.6
abbreviations
Overview of
techniques
and measures
PART 4
PART 6
Guidelines for the
Documentation
Realisation Realisation
application of
phase for phase for Clause 5 and
parts 2 and 3
E/E/PE safety- safety-related annex A
related systems software
PART 1
PART 2 PART 3
Management of
functional safety
Clause 6
PART 1
PART 1
Installation and commissioning
and safety validation of E/E/PE
safety-related systems Functional safety
assessment
Clause 8
7.13 and 7.14
PART 1
PART 1
Operation and maintenance,
modification and retrofit,
decommissioning or disposal
f
E/E/PE safety-related systems
7.15 to 7.17
IEC 312/2000
Figure 1 – Overall framework of IEC 61508
61508-2 © IEC:2000 – 21 –
61508-2 © IEC:200261508-2 © IEC:2000 – 11 –– 11 –
2 Normative references
The following normative documents contain provisions which, through reference in this text,
constitute provisions of this part of IEC 61508. For dated references, subsequent
amendments to, or revisions of, any of these publications do not apply. However, parties to
agreements based on this part of IEC 61508 are encouraged to investigate the possibility of
applying the most recent editions of the normative documents indicated below. For undated
references, the latest edition of the normative document referred to applies. Members of IEC
and ISO maintain registers of currently valid International Standards.
IEC 60050(371):1984, International Electrotechnical Vocabulary – Chapter 371: Telecontrol
IEC 60300-3-2:1993, Dependability management – Part 3: Application guide – Section 2:
Collection of dependability data from the field
IEC 61000-1-1:1992, Electromagnetic compatibility (EMC) – Part 1: General – Section 1:
Application and interpretation of fundamental definitions and terms
IEC 61000-2-5:1995, Electromagnetic compatibility (EMC) – Part 2: Environment – Section 5:
Classification of electromagnetic environments – Basic EMC publication
IEC 61508-1:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 1: General requirements
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 3: Software requirements
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 4: Definitions and abbreviations
IEC 61508-5:1998, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 5: Examples of methods for the determination of safety integrity levels
IEC 61508-6, Functional safety of electrical/electronic/programmable electronic safety-related
1)
systems – Part 6: Guidelines on the application of parts 2 and 3
IEC 61508-7:2000, Functional safety of electrical/electronic/programmable electronic safety-
related systems – Part 7: Overview of techniques and measures
IEC Guide 104:1997, The preparation of safety publications and the use of basic safety
publications and group safety publications
ISO/IEC Guide 51:1990, Guidelines for the inclusion of safety aspects in standards
IEEE 352:1987, IEEE guide for general principles of reliability analysis of nuclear power
generating station safety systems
———————
1)
To be published.
61508-2 © IEC:2000 – 23 –
– 12 –– 12 – 61508-2 © IEC:200061508-2 © IEC:2000
3 Definitions and abbreviations
For the purposes of this part of IEC 61508, the definitions and abbreviations given in
IEC 61508-4 apply.
4 Conformance to this standard
The requirements for conformance to this standard are as detailed in clause 4 of IEC 61508-1.
5 Documentation
The requirements for documentation are as detailed in clause 5 of IEC 61508-1.
6 Management of functional safety
The requirements for management of functional safety are as detailed in clause 6 of
IEC 61508-1.
7 E/E/PES safety lifecycle requirements
7.1 General
7.1.1 Objectives and requirements: General
7.1.1.1 This subclause sets out the objectives and requirements for the E/E/PES safety
lifecycle phases.
NOTE The objectives and requirements for the overall safety lifecycle, together with a general introduction to the
structure of the standard, are given in IEC 61508-1.
7.1.1.2 For all phases of the E/E/PES safety lifecycle, table 1 indicates
− the objectives to be achieved;
− the scope of the phase;
− a reference to the subclause containing the requirements;
− the required inputs to the phase;
− the outputs required to comply with the subclause.
7.1.2 Objectives
The first objective of the requirements of this subclause is to structure, in a
7.1.2.1
systematic manner, the phases in the E/E/PES safety lifecycle that shall be considered in
order to achieve the required functional safety of the E/E/PE safety-related systems.
7.1.2.2 The second objective of the requirements of this subclause is to document all
information relevant to the functional safety of the E/E/PE safety-related systems throughout
the E/E/PES safety lifecycle.
61508-2 © IEC:2000 – 25 –
61508-2 © IEC:200261508-2 © IEC:2000 – 13 –– 13 –
7.1.3 Requirements
7.1.3.1 The E/E/PES safety lifecycle that shall be used in claiming conformance with this
standard is that specified in figure 2. If another E/E/PES safety lifecycle is used, it shall be
specified during functional safety planning (see clause 6 of IEC 61508-1), and all the
objectives and requirements of each subclause of IEC 61508-2 shall be met.
NOTE The relationship and scope for IEC 61508-2 and IEC 61508-3 are shown in figure 3.
7.1.3.2 The procedures for management of functional safety (see clause 6 of IEC 61508-1)
shall run in parallel with the E/E/PES safety lifecycle phases.
7.1.3.3 Each phase of the E/E/PES safety lifecycle shall be divided into elementary
activities, with the scope, inputs and outputs specified for each phase (see table 1).
7.1.3.4 Unless justified during functional safety planning, the outputs of each phase of the
E/E/PES safety lifecycle shall be documented (see clause 5 of IEC 61508-1).
7.1.3.5 The outputs for each E/E/PES safety lifecycle phase shall meet the objectives and
requirements specified for each phase (see 7.2 to 7.9).
Box 9 in figure 2
E/E/PES safety lifecycle
of part 1
Safety-related
E/E/PES safety requirements
9.1
systems:
specification
E/E/PES
Safety functions Safety integrity
Realisation
9.1.1 9.1.2
requirements requirements
specification specification
E/E/PES design and
E/E/PES safety
9.2 9.3
development
validation planning
including software
E/E/PES installation,
(see IEC 61508-3)
commissioning,
9.5
operation, and
maintenance procedures
9.4
E/E/PES integration
One E/E/PES safety E/E/PES safety
9.6
lifecycle for each validation
To box 14
E/E/PE safety-related
in figure 2
system
of part 1
To box 12 in figure 2 of part 1
IEC 313/2000
NOTE See also IEC 61508-6, A.2(b).
Figure 2 – E/E/PES safety lifecycle (in realisation phase)
61508-2 © IEC:2000 – 27 –
– 14 –– 14 – 61508-2 © IEC:200061508-2 © IEC:2000
Scope of
part 2
E/E/PES safety
E/E/PES
requirements
architecture
specification
Hardware safety requirements
specification
Scope of
Software safety
Non-programmable
Programmable
part 3 requirements
hardware
electronic hardware
Software design
Non-programmable
Programmable
and
electronics design hardware design
development
and development and development
Programmable electronics
E/E/PES
integration (hardware and
integration
software)
IEC 314/2000
Figure 3 – Relationship and scope for IEC 61508-2 and IEC 61508-3
61508-2 © IEC:2000 – 29 –
61508-2 © IEC:200261508-2 © IEC:2000 – 15 –– 15 –
Table 1 – Overview – Realisation phase of the E/E/PES safety lifecycle
Safety lifecycle phase or
activity
Require-
Objectives Scope Inputs Outputs
ments
Figure 2
subclause
box Title
number
9.1 E/E/PES safety To specify the E/E/PE 7.2.2 Description of E/E/PES safety
requirements requirements for each safety-related allocation of requirements
specification E/E/PE safety-related systems safety
Requirements for software
system, in terms of the requirements
safety as an input to the
required safety functions (see 7.6 of
software safety
and the required safety IEC 61508-1)
requirements specification
integrity, in order to
achieve the required
functional safety
9.2 E/E/PES safety To plan the validation of E/E/PE 7.3.2 E/E/PES safety Plan for the safety
validation the safety of the E/E/PE safety-related requirements validation
lanning safety-related systems systems
of the E/E/PE safety-
related systems
9.3 E/E/PES To design the E/E/PE E/E/PE 7.4.2 E/E/PES safety Design of the E/E/PE
design and safety-related systems to safety-related to requirements safety related systems in
development meet the requirements for systems 7.4.9 conformance with the
safety functions and E/E/PES safety
safety integrity requirements
Plan for the E/E/PES
integration test
PES architectural
information as an input to
the software requirements
specification
9.4 E/E/PES To integrate and test the E/E/PE 7.5.2 E/E/PES design Fully functioning E/E/PE
integration E/E/PE safety-related safety-related safety-related systems in
E/E/PES
systems systems conformance with the
integration test
E/E/PES design
plan
Results of E/E/PES
Programmable
integration tests
electronics
hardware and
software
9.5 E/E/PES To develop procedures to E/E/PE 7.6.2 E/E/PES safety E/E/PES installation,
installation, ensure that the functional safety-related requirements commissioning, operation
commission in, safety of the E/E/PE systems and maintenance
E/E/PES design
operation, and safety-related systems is EUC procedures for each
maintenance maintained during individual E/E/PES
procedures operation and
maintenance
9.6 7.7.2
E/E/PES safety To validate that the E/E/PE E/E/PES safety Fully safety validated
validation E/E/PE safety-related safety-related requirements E/E/PE safety-related
systems systems
systems meet, in all
Plan for the
respects, the
safety validation Results of E/E/PES safety
requirements for safety in
of the E/E/PE validation
terms of the required
safety-related
safety functions and the
systems
required safety integrity
– E/E/PES To make corrections, E/E/PE 7.8.2 E/E/PES safety Results of E/E/PES
modification enhancements or safety-related requirements modification
adaptations to the E/E/PE systems
safety-related systems,
ensuring that the required
safety integrity level is
achieved and maintained
– E/E/PES To test and evaluate the E/E/PE 7.9.2 As above – As above – depends on the
verification outputs of a given phase safety-related depends on the phase
to ensure correctness and systems phase
Results of the verification
consistency with respect
Plan for the of the E/E/PE safety-
to the products and
verification of related systems for each
standards provided as
phase
the E/E/PE
input to that phase
safety-related
systems for
each phase
– E/E/PES To investigate and arrive E/E/PE 8 Plan for Results of E/E/PES
functional at a judgement on the safety-related E/E/PES functional safety
safety functional safety achieved systems functional safety assessment
assessment by the E/E/PE safety- assessment
related systems
61508-2 © IEC:2000 – 31 –
– 16 –– 16 – 61508-2 © IEC:200061508-2 © IEC:2000
7.2 E/E/PES safety requirements specification
NOTE This phase is box 9.1 of figure 2.
7.2.1 Objective
The objective of the requirements of this subclause is to specify the requirements for each
E/E/PE safety-related system, in terms of the required safety functions and the required
safety integrity, in order to achieve the required functional safety.
NOTE The safety functions may, for example, be required to put the EUC into a safe state or to maintain a safe
state.
7.2.2 General requirements
7.2.2.1 The specification of the E/E/PES safety requirements shall be derived from the
allocation of safety requirements, specified in 7.6 of IEC 61508-1, and from those
requirements specified during functional safety planning (see clause 6 of IEC 61508-1). This
information shall be made available to the E/E/PES developer.
NOTE Caution should be exercised if non-safety functions and safety functions are implemented in the same
E/E/PE safety-related system. While this is allowed in the standard, it may lead to greater complexity and increase
the difficulty in carrying out E/E/PE safety lifecycle activities (for example design, validation, functional safety
assessment and maintenance).
7.2.2.2 The E/E/PES safety requirements shall be expressed and structured in such a way
that they are
a) clear, precise, unambiguous, verifiable, testable, maintainable and feasible; and
b) written to aid comprehension by those who are likely to utilise the information at any stage
of the E/E/PES safety lifecycle.
7.2.2.3 The specification of the E/E/PES safety requirements shall contain the requirements
for the E/E/PES safety functions (see 7.2.3.1) and the requirements for E/E/PES safety
integrity (see 7.2.3.2).
7.2.3 E/E/PES safety requirements
7.2.3.1 The E/E/PES safety functions requirements specification shall contain
a) a description of all the safety functions necessary to achieve the required functional
safety, which shall, for each safety function,
– provide comprehensive detailed requirements sufficient for the design and
development of the E/E/PE safety-related systems,
– include the manner in which the E/E/PE safety-related systems are intended to
achieve or maintain a safe state for the EUC,
– specify whether or not continuous control is required, and for what periods, in
achieving or maintaining a safe state of the EUC, and
– specify whether the safety function is applicable to E/E/PE safety-related systems
operating in low demand or high demand/continuous modes of operation;
b) throughput and response time performance;
c) E/E/PE safety-related system and operator interfaces which are necessary to achieve the
required functional safety;
d) all information relevant to functional safety which may have an influence on the E/E/PE
safety-related system design;
e) all interfaces between the E/E/PE safety-related systems and any other systems (either
directly associated within, or outside, the EUC);
61508-2 © IEC:2000 – 33 –
61508-2 © IEC:200261508-2 © IEC:2000 – 17 –– 17 –
f) all relevant modes of operation of the EUC, including
– preparation for use including setting and adjustment,
– start-up, teach, automatic, manual, semi-automatic, steady state of operation,
– steady state of non-operation, re-setting, shut-down, maintenance,
–
reasonably foreseeable abnormal conditions;
NOTE 1 Reasonably foreseeable abnormal conditions are those reasonably foreseeable to either the
developers or users.
NOTE 2 Additional safety functions may be required for particular modes of operation (for example setting,
adjustment or maintenance), to enable these operations to be carried out safely.
g) all required modes of behaviour of the E/E/PE safety-related systems – in particular,
failure behaviour and the required response (for example alarms, automatic shut-down,
etc.) of the E/E/PE safety-related systems shall be detailed;
h) the significance of all hardware/software interactions – where relevant, any required
constraints between the hardware and the software shall be identified and documented;
NOTE 3 Where these interactions are not known before finishing the design, only general constraints can be
stated.
i) limiting and constraint conditions for the E/E/PE safety-related systems and their
associated subsystems, for
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...